威胁行为者在最近的一次服务器入侵中使用 Mimikatz 相关工具之前,禁用了 Microsoft Defender 保护、杀死了日志记录工具、删除了 Web 应用程序防火墙并削弱了 Windows 凭据保护。
该事件详细记录在女猎手分析发布于 2026 年 6 月 29 日,从 6 月 7 日开始,在受感染的 Web 服务器上出现可疑的枚举活动。该活动由 w3wp.exe 生成,w3wp.exe 是通常用于处理 Web 请求的 IIS 工作进程。
调查人员后来发现一个隐藏在图像目录中的隐写 ASPX Webshell。攻击者在修复不完整后返回,重建访问权限,然后发起更广泛的努力,在凭证被盗之前蒙蔽防御者。
攻击者首先试图蒙蔽安全团队
攻击最重要的部分是行动顺序。攻击者没有立即进行凭证转储。他们首先尝试破坏记录、检测或阻止下一阶段的系统。
MITRE ATT&CK 将此类活动分类为禁用或修改工具,一种防御损害技术,对手可以篡改防病毒软件、日志代理、EDR 工具、传感器或配置文件以降低可见性。
Huntress 表示,攻击者留下了一个名为 i.bat 的批处理文件,该文件暴露了防御损害工作流程。该脚本针对 IIS 日志记录、Microsoft Defender、Sysmon、Filebeat、端点安全工具、WDigest 设置、ModSecurity 和 Windows 事件日志。
| 阶段 | 发生了什么 | 为什么这很重要 |
|---|---|---|
| 初始访问 | 易受攻击的 Web 服务器上出现了 Webshell | 它为攻击者提供了通过 IIS 运行命令的方法 |
| 侦察 | 攻击者枚举用户、软件和系统详细信息 | 它帮助确定帐户、工具和可能的扩展路径 |
| 防御障碍 | Defender、Sysmon、Filebeat、WAF 保护和事件日志成为目标 | 它减少了监控并使后续活动更难调查 |
| 凭证访问 | 使用了Mimikatz相关组件和凭证转储工具 | 它造成了密码、哈希值和帐户被盗的风险 |
| 清理 | 文件、注册表项和事件日志已删除 | 它试图删除法医证据 |
Defender、Sysmon 和 Filebeat 成为目标
攻击者使用 Windows 管理工具和脚本来削弱 Microsoft Defender 设置。微软表示设置 MpPreferencecmdlet 配置 Defender 扫描和更新首选项,包括排除和其他安全设置。
该脚本还针对系统监控程序,Microsoft 的系统监控工具,可将进程创建、网络连接、驱动程序加载、文件时间戳更改以及其他活动记录到 Windows 事件日志中。
通过杀死或删除 Sysmon 和 Filebeat 等工具,攻击者减少了防御者稍后看到凭证转储和清理活动的机会。同一脚本还针对多个供应商的安全产品和监控服务。
- 禁用或削弱 Microsoft Defender 保护
- 为攻击者控制的路径和文件类型创建了 Defender 排除项
- 杀死 Sysmon 和 Filebeat 进程
- 停止或删除日志记录和安全服务
- 使用调试器设置来冻结选定的工具
- 清除安全、系统、应用程序和设置事件日志
攻击者从 IIS 中删除了 WAF 保护
该活动还针对 IIS 上的 ModSecurity。 OWASP 描述了一个Web应用程序防火墙作为 HTTP 应用程序的保护层,它使用规则来帮助检测或阻止 SQL 注入和跨站点脚本等攻击。
据 Huntress 称,攻击者在卸载 ModSecurity IIS 模块之前枚举了 IIS 站点和虚拟目录。这使得服务器更容易受到后续网络攻击,尤其是在底层应用程序尚未完全修补的情况下。
这很重要,因为 Webshell 妥协通常会造成多个问题。删除 WAF 可以使易受攻击的服务器更容易再次受到攻击,而防御者仍在尝试清除第一次入侵。
WDigest 降级增加凭证盗窃风险
禁用防御后,攻击者通过修改 WDigest 行为削弱了 Windows 凭据保护。微软的WDigest 指导解释了 UseLogonCredential 注册表值控制 WDigest 是否将凭据存储在内存中。
这一变化为凭证转储埋下了伏笔。 MITRE 将此活动跟踪为操作系统凭证转储,攻击者试图从操作系统内存、缓存或其他凭证存储中获取帐户登录信息、哈希值或明文密码。
攻击者还从注册表中提取与 ODBC 相关的凭据材料,并使用将窃取的数据写入输出文件的工具。 Huntress 表示,在攻击者试图删除证据之前,该活动涉及 Mimikatz 内核驱动程序。
| 针对性控制 | 在环境中的作用 | 受损时的风险 |
|---|---|---|
| 微软卫士 | 端点恶意软件预防和检测 | 恶意脚本和工具运行时可能会出现较少的警报 |
| 系统监控程序 | 详细的 Windows 遥测和事件日志记录 | 进程、网络和文件活动变得更难追踪 |
| 文件节拍 | 日志转发至分析平台 | 集中可见性可能会在攻击期间被破坏 |
| ModSecurity WAF | Web 应用程序的 HTTP 攻击过滤 | Web 应用程序更容易受到常见攻击模式的影响 |
| 西部文摘 | Windows 身份验证行为 | 错误配置可能会增加明文凭证暴露的机会 |
Webshell 隐藏在图像目录中
第一个可疑文件 UA4fp7R.aspx 出现在 Web 根图像目录中。 Huntress 表示,该文件使用了隐写术,允许有效负载显示为图像,同时仍包含可执行的 Webshell 内容。

该报告还指出了嵌入在相关 Webshell 中的标记字符串 ONEPIECE。该标记可以帮助防御者在跨网络服务器、备份和文件完整性监控日志进行搜索时识别相关文件。
响应活动开始后,攻击者多次返回。这说明了为什么事件响应团队应避免在修补、遏制、取证审查和强化完成之前重新连接或恢复易受攻击的服务器。
妥协指标
以下指标来自女猎手指标与事件报告一起发布。安全团队应搜索端点、Web 根、EDR 遥测、日志平台和备份以查找匹配的工件。
| 类型 | 指标 | 描述 |
|---|---|---|
| SHA-256 | bd74a00f4d2ec3bf50d13ddf324bb368b2464d547abd0c572ef5e2f77943a920 | 隐写 webshell,UA4fp7R.aspx |
| SHA-256 | 40859ede262098086962ab00c89f02452aa9941c88c7f4ac002db166179980c6 | 隐写 webshell,03Fl3i.aspx |
| SHA-256 | f63d293e117cae1d0a6c24359fc1361a9dc48178049cc6491051b09268c8c39c | 隐写 webshell、WRBYTR5750images.aspx 和 MRBTPS5754images.aspx |
| SHA-256 | 94cd18f3f030fcc9b259dc410b17ea72a1f9800ee654f8e0f07a87bb9443b593 | 防御规避和枚举批处理文件,i.bat |
| SHA-256 | 793768ce4fadab044c7502ea5ec4d8e1569283f289dfd73419e119f32d56d0f3 | PHP webshell,jT1Ds.php |
| SHA-256 | f0ff36ecdc843351913dbfbd9122b62563894936ff64215a7a2f89181ebdb57f | 网页外壳,RG0eQV6.php |
| 细绳 | 一件作品 | 在相关 webshell 中找到的标记字符串 |
组织如何降低风险
安全团队应将防御受损视为主要警告信号。当攻击者禁用日志记录或安全工具时,事件可能已经超出了简单的 Webshell 活动范围。

团队应该监控可疑的变化Microsoft Defender 首选项、意外的服务停止、删除的日志记录代理、异常的调试器设置以及清除的事件日志。这些变化通常出现在凭证盗窃、勒索软件或横向移动之前。
组织还应该在受感染主机之外保存和转发日志。如果攻击者获得管理员级别的访问权限,本地 Windows 事件日志可能会迅速消失。
- 快速修补面向互联网的 Web 应用程序和服务器
- 当不需要直接访问时,将公共服务器置于防火墙或 VPN 后面
- 将 Windows、IIS 和安全日志转发到单独的系统
- 监视器Sysmon事件集合对于间隙或突然停止
- 映射到的活动警报米特 ATT&CK T1685
- 核实WDigest 凭证存储在需要时保持禁用状态
- 检查检测结果米特 ATT&CK T1003凭证倾销行为
- 保持经过测试的WAF政策对于公开的 Web 应用程序
为什么此事件很重要
此攻击表明凭证盗窃通常取决于早期的可见性差距。 Mimikatz 阶段引起了人们的注意,但更大的故事是攻击者试图首先拆除防御。
该案例还凸显了一个常见的反应错误。在修复完成之前使服务器重新联机可以为同一攻击者提供另一次继续操作的机会。
对于防守者来说,这个教训是直接的。不要只寻找凭证转储工具。寻找攻击者在这些工具出现之前制造的沉默。
FAQ
黑客在使用 Mimikatz 之前禁用了什么?
攻击者在使用 Mimikatz 相关的凭证转储工具之前,先针对 Microsoft Defender、Sysmon、Filebeat、端点安全工具、IIS 日志记录、ModSecurity WAF 保护和 Windows 事件日志进行攻击。
攻击是如何开始的?
该事件始于受感染网络服务器上的可疑枚举活动。调查人员在服务器上的图像目录中发现了隐藏的 ASPX Webshell。
为什么在攻击期间禁用 Sysmon 很危险?
Sysmon 记录重要的 Windows 活动,包括进程创建、网络连接、驱动程序加载和文件时间戳更改。如果攻击者阻止它,防御者就会失去有用的取证和检测数据。
WDigest 在凭证转储尝试中扮演了什么角色?
攻击者修改了 WDigest 相关设置,以增加凭据存储在内存中的风险。如果攻击者获得足够的权限,这可以使凭证转储对攻击者更有用。
组织如何更早地发现类似的攻击?
组织应监控停止的安全服务、Defender 首选项更改、清除的事件日志、意外的 Webshell 文件、WAF 删除、WDigest 更改以及关键服务器转发日志中的间隙。
